パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。インターネットの危険情報を取りまとめるセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は、推奨するパスワードの作り方の方針転換をした。これまでは「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」を推奨していた。 JPCERT/CCは2018年8月1日から31日まで「STOP!パスワード使い回し!キャンペーン」を実施している。パスワードの使い回しを控えるように呼び掛ける活動で、2014年から毎年実施している。2018年はヤフーや楽天、セブン銀行など26の賛同企業/団体とともにユーザーに呼びかけている。キャンペーンでは、破られにくいパスワードの作り方と管理方法をユーザー向けに紹介している。この内容が2017年までと比べて大きく変化した。 2017年までは「大小
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティの重要性が増す中で世界的にセキュリティ人材の不足が叫ばれ、人材育成がブームの様相を見せる。こうした状況に専門家がセキュリティ人材に求められる資質を説くとともに、育成ブームに苦言も呈している。 セキュリティテストなどのオープンソースコミュニティー「Institute for Security and Open Methodologies(ISECOM)」の共同創設者でマネージングディレクターを務めるPete Herzog氏は、7月に米Cylanceが運営するブログに投稿したエントリで、「本当に動物が好きでなければ、動物を管理する仕事をすべきではない。これはサイバーセキュリティにも当てはまる」と言及している。 同氏は、以
NTTドコモの運営するオンラインショップサイトに不正ログインが行われ、iPhoneが勝手に購入される被害が多数出ていると報じられました。ここでは関連情報をまとめます。 関連する公式案内 2018年8月14日 不正なアクセス対策としての「2段階認証」ご利用のお願い 2018年8月15日 ドコモオンラインショップにおける2段階認証開始について 2018年8月22日 ドコモオンラインショップにおける商品受取方法の変更について インシデントタイムライン 日時 出来事 2018年7月下旬 NTTドコモがオンラインショップサイトへのリスト型攻撃を検知。 2018年8月2日頃 Twitter上で不正ログインなどのツイートが出始める。*1 2018年8月5日 ユーザーから連絡を受け、NTTドコモがiPhoneの不正購入を把握。*2 : NTTドコモが不正購入への対策を実施。 2018年8月13日 NTTド
2018年8月12日、掲示板サイトに国会議員2名の公式サイトを含むURL 5件が続けて投稿されました。URLは画像を参照させるもので、画像は対象のWebサイトと関係がないとみられることから、第三者が何らかの手段によって勝手に設置した可能性があります。ここでは関連情報をまとめます。 掲示板への投稿 掲示板サイトに2018年8月12日 2時前後にかけて5件の投稿が行われた。 掲示板サイトは書き込みした際にIDが付与されるが、5件を投稿したIDはいずれも「XHSAefvX0」であった。 投稿されたのはURLのみ。また同一のIDでこのURL以外の投稿は行われていなかった。 投稿されたWebサイト 投稿されたWebサイトと時間は以下の通り。 掲示板への投稿日時 投稿されたWebサイト 復旧日時 2018年8月12日 01:47:44.29 衆議院議員 野田聖子オフィシャルサイト (www.noda-
台湾のチップ製造大手 Taiwan Semiconductor Manufacturing Co Ltd (TSMC)がマルウェアの感染により製造システムに影響が及びました。ここでは関連情報をまとめます。 公式発表 2018年8月5日 TSMC Details Impact of Computer Virus Incident インシデントタイムライン 日時 出来事 2018年8月3日 夕方 TSMCの社内ネットワークでマルウェア感染が発生。生産設備に影響が生じた。 2018年8月5日 TSMCがマルウェア感染の事実を公表。 〃 14時(台湾時間) 影響を受けた製造ツールの約80%が復旧された。 2018年8月6日 TSMC CEO(魏哲家氏)がマルウェア感染についての記者会見。 〃 TSMCの被害が完全復旧したと発表。 TSMCで発生した被害 マルウェア感染により生産に影響が出た工場 T
産総研が7月20日に、2月6日に判明した外部からの不正アクセス事件についての報告(最終報告)を出していました。結果から言えば、懸念していた通り、個人情報や知財権を漏えいしていました。(※機密性3情報では無いと産総研は発表していますが、未公表の研究情報を含むので一般的に言えば重要機密が漏洩したと考えるのが妥当だと思います) ■公式発表 産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について ■事件の状況 ※報告書から抜粋 【メールシステムへの不正なアクセス】 1次攻撃(2017年10月27日~12月末)ではIDとパスワードの両方が検索された。11月以降は職員のIDを特定した上でパスワード試行攻撃を受ける 2次攻撃(2018年1月23日以降)は、職員の認証用データベース(LDAPサーバ)への不正検索を受ける 【内部システムへの不正なアクセス】 [第1ステップ] 外部のレンタ
本年2月13日にお知らせしました弊所に対する外部からの不正アクセスについて、その調査結果がまとまりましたので、ご報告いたします。 今回の情報インシデント発生後、緊急のセキュリティ強化対策を施した上で、研究・業務活動に影響が生じないようシステムの早期復旧に努めるとともに、被害調査・原因分析を行ってまいりましたが、広い範囲にわたって不正なアクセスを受けており、復旧・調査等に時間を要したため、このたびの公表となりました。 今回の件で、関係者の皆さまに多大なご迷惑とご心配をおかけすることになり、深くお詫び申し上げるとともに、今後、同様の事案が起こらぬよう情報の厳格な管理およびセキュリティの強化を徹底することで再発防止に努めてまいります。 なお、今回の事案により多大なご迷惑をおかけしたこと等を踏まえ、関係職員の厳正な処分を進めるとともに、副理事長(CISO)、担当理事が10%、1か月分の給与自主返納
August 12, 2019 - Update Simplex and Gacha on HB Wallet July 15, 2019 - We are sorry to announce that activities of Realboost.jp will be paused. Hence, from Thursday, July 18th, 2019, we will stop allowing registration. On July 25th, 2019, we will stop providing all services of Realboost. We have integrated Realboost to HB Wallet, where users can communicate with each other via HB Chat. The web
1. はじめに 昨日「SSL/TLS暗号設定ガイドライン 第2.0版」が公開されました。 前回から約3年経って今回はCRYPTREC暗号技術活用委員会で検討作業が行われたようです。 普段、TLS/HTTPSの記事を書いたり発表したりしている立場上、これを見逃すわけにはいけません。 本文冒頭では、 「本ガイドラインは、2018 年 3 月時点における、SSL/TLS 通信での安全性と可用性(相互接続性)のバランスを踏まえた SSL/TLS サーバの設定方法を示すものである。」 ということなので、できたてほっかほっかの最新ガイドラインを読ませていただきました。 読み進めてみるとChangelogが細かく書いてなく、以前のバージョンとどこがどう変わったのかよくわかりません。TLS1.3とかは絶対に新しく入った内容なんですが、細かいところはどうだろう… それでも全部(SSL-VPNを除く)をざっと
Hiromitsu Takagi @HiromitsuTakagi 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。) 2018-03-28 00:04:29 Hiromitsu Takagi @HiromitsuTakagi 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。) 2018-03-28 00:04:29
2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。 ここでは関連情報をまとめます。 公式発表 2018年3月2日 マイネットグループが運営する一部ゲームタイトルのサーバー障害のお知らせとお詫び(3/4 17:30更新 ) 2018年3月5日 当社サーバーへの不正アクセスの発生と対応について 2018年3月5日 (3/10 11:10更新)当社サーバーへの不正アクセスによる一部運営ゲームタイトル障害発生のお知らせとお詫び 2018年3月15日 (3/22 16:00更新)当社サーバーへの不正アクセスによる一部運営ゲームタイトル障害発生のお知らせとお詫び 2018年3月23日 当社サーバーへの不正アクセスに関する概要、経緯及びサービス再開状況 2018年3月26日 当社サーバーへの不
スマホのロックがどうこうって話題をたまに耳にするけど、みんな使ってる? 仕事で使うから色々ルール決まっていてしかたなくセキュリティを厳しくしてるのは別 プライベートなもの 私はガラケーの頃からそういう面倒なのは一切使ってない 興味持って使ってみてもすぐ面倒だからと解除した 指紋とか顔認証とか言ってすごいね~とは思うもののそもそもロックしないからあまり関係ない話と思ってる 顔認証が楽で早いとか言っても開いた時点や、ボタン押した時点ですぐ使えるのが一番早い 落としたら?とか言われても貴重品類はこまめに持ってるか確認するからなくしたこととかないし、 仮になくしても大したものは入れてないからむしろ本体の値段分の損した気分のほうが大きい ガラケー時代だとロック書けてる人ってそんなにいなかったと思うし(少なくとも自分のまわりでは) 書けてると逆に人に見せれないような何か保存してるんじゃって思うようなも
AMDは、同社の複数のプロセッサに13件のセキュリティ脆弱性があるとする報告について調査している。 チップメーカーのAMDは米国時間3月13日の声明で、CTS Labsの調査結果について「調査と分析を鋭意進めている」と述べた。CTS Labsはあまり知られていないが、イスラエルのテルアビブに本社を置くサイバーセキュリティの新興企業だ。 AMDが声明を発表する数時間前に、CTS Labsは「RYZENFALL」「MASTER KEY」「FALLOUT」「CHIMERA」と名付けた13の脆弱性について説明するウェブサイト、研究論文、動画を公開した。攻撃者がそれらの脆弱性を利用すると、膨大な数の端末に搭載されているAMDの「Ryzen」および「EPYC」プロセッサから機密データを取得できる可能性があると主張している。 公開されたホワイトペーパーには、それらの脆弱性の具体的な内容が詳しく記述されて
ITパスポート試験の団体申込者が利用するシステムに不具合があり、二つの団体申込者が申込情報のダウンロードを同時に行った結果、自らの情報のほかにもう片方の団体申込者に係る申込情報が記載されたファイルがダウンロードされ、個人情報等が漏えいしたという事案が発生しました。すでに漏えいした情報は破棄されたことを確認し、再発防止措置も講じましたので、ご報告いたします。 このような事態が発生したことは誠に遺憾であり、関係者の皆様に多大なご迷惑をおかけしたことを深くお詫び申し上げます。 1.経緯 2018年2月26日に二つの団体申込者が、ウェブサイトから申込情報をCSVファイルでダウンロードできる機能を同時に利用したところ、双方の申込情報が合わさって記載されたCSVファイルが双方でダウンロードされました。当該CSVファイルには、ITパスポート試験の受験申込者の受験番号、氏名、受験日、受験料金の支払いに用い
徳丸本こと、「体系的に学ぶ 安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。 そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。 改訂にあたり、以下を考えています。 Web APIとJavaScriptに関する説明を4章に追加 XHR2対応に向けてCORSの説明を3章に追加 携帯電話の章は丸ごと削除して、別の内
2018年冬季オリンピック(平昌大会)に関連するサイバー空間上で起きた出来事をまとめます。 1.平昌大会に関連する不審な文書ファイル付きメール/Gold Dragon (1) McAfeeが報告した不審メール McAfee Malicious Document Targets Pyeongchang Olympics CyberInt Winter Olympics Threats Snowballing? VOLON Power Shell Malware: Winter Olympics Organizers targeted in latest Spear Phishing Spam Campaign using Power Shell Malware 時期 件名 送信先 送信先 送信元FROM 実際の送信元 2017年12月22日 위험 경보 (전국야생조류 분변 고병원성 AI(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く